AWS - IAM & STS Unauthenticated Enum
Last updated
Last updated
Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Cette technique ne fonctionne plus car que le rôle existe ou non, vous obtenez toujours cette erreur :
An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::947247140022:user/testenv is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::429217632764:role/account-balanceasdas
Vous pouvez tester cela en exécutant :
aws sts assume-role --role-arn arn:aws:iam::412345678909:role/superadmin --role-session-name s3-access-example
Tenter de prendre un rôle sans les autorisations nécessaires déclenche un message d'erreur AWS. Par exemple, si non autorisé, AWS pourrait renvoyer :
Ce message confirme l'existence du rôle mais indique que sa politique d'assumption de rôle ne permet pas votre assumption. En revanche, essayer de prendre un rôle inexistant entraîne une erreur différente :
Intéressant, cette méthode de distinction entre les rôles existants et non existants est applicable même à travers différents comptes AWS. Avec un ID de compte AWS valide et une liste de mots ciblée, on peut énumérer les rôles présents dans le compte sans faire face à des limitations inhérentes.
Vous pouvez utiliser ce script pour énumérer les principaux potentiels en abusant de ce problème.
Configurer ou mettre à jour la politique de confiance d'un rôle IAM implique de définir quels ressources ou services AWS sont autorisés à assumer ce rôle et à obtenir des identifiants temporaires. Si la ressource spécifiée dans la politique existe, la politique de confiance est enregistrée avec succès. Cependant, si la ressource n'existe pas, une erreur est générée, indiquant qu'un principal invalide a été fourni.
Notez que dans cette ressource, vous pourriez spécifier un rôle ou un utilisateur inter-compte :
arn:aws:iam::acc_id:role/role_name
arn:aws:iam::acc_id:user/user_name
Voici un exemple de politique :
C'est l'erreur que vous trouverez si vous utilisez un rôle qui n'existe pas. Si le rôle existe, la politique sera enregistrée sans aucune erreur. (L'erreur concerne la mise à jour, mais cela fonctionne également lors de la création)
Vous pouvez automatiser ce processus avec https://github.com/carlospolop/aws_tools
bash unauth_iam.sh -t user -i 316584767888 -r TestRole -w ./unauth_wordlist.txt
Notre utilisation de Pacu :
run iam__enum_users --role-name admin --account-id 229736458923 --word-list /tmp/names.txt
run iam__enum_roles --role-name admin --account-id 229736458923 --word-list /tmp/names.txt
Le rôle admin
utilisé dans l'exemple est un rôle dans votre compte à être usurpé par pacu pour créer les politiques dont il a besoin pour l'énumération
Dans le cas où le rôle était mal configuré et permet à quiconque de l'assumer :
L'attaquant pourrait simplement l'assumer.
Imaginez que vous parvenez à lire un workflow Github Actions qui accède à un rôle à l'intérieur d'AWS. Cette confiance pourrait donner accès à un rôle avec la politique de confiance suivante :
Cette politique de confiance peut être correcte, mais le manque de plus de conditions devrait vous inciter à vous méfier. Ceci est dû au fait que le rôle précédent peut être assumé par QUICONQUE de Github Actions ! Vous devriez spécifier dans les conditions d'autres éléments tels que le nom de l'organisation, le nom du dépôt, l'environnement, la branche...
Une autre mauvaise configuration potentielle est d'ajouter une condition comme suit :
Notez le joker (*) avant le deux-points (:). Vous pouvez créer une org telle que org_name1 et assumer le rôle depuis une action Github.
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)